帮助

返回

秘迹安全Q&A


1. 除了我还有谁可以看到我存在秘迹的数据?

秘迹应用的数据使用端到端加密技术,加密密钥只存在客户端,密钥永远不会以任何明文或密文的形式传到其它终端和服务器。除了你,没有任何人能够看到你的加密密钥,所以也没有任何其他人能够解密你的秘迹数据,包括秘迹的工程师、IDC的工程师等。

2. 如果你们服务器被黑了,我密码是不是就都泄漏了?

因为秘迹应用数据采用端到端加密,加密和解密的私钥只有用户知道,所以我们服务器上只存放的加密后的箱数据。这些数据用的是非常安全的AES-256加密方式,加密的密钥是从你12个汉字的恢复密钥生成的。即使黑客拿到了这些加密数据,也没有任何意义,因为暴力破解AES-256加密的数据几乎是不可能的。

3. 为什么没有秘迹账号?

传统的互联网服务,包括密码管理器,都需要提供手机号、邮箱、用户名等身份信息来注册、认证、授权账户。当某个网站的账号数据泄漏时,黑客会借助此数据在其它网站进行更有目标、更有效的攻击。

秘迹应用不需要用户提供账号信息,这样使用秘迹时是一个匿名的身份,秘迹用户的“身份”无法和其它任何互联网服务的账号体系关联起来。黑客无法通过其它网站泄漏的信息帮助攻击秘迹,减小了攻击面,让秘迹更安全。

4. 为什么没有秘迹密码?

绝大多数的互联网服务都用一组用户名和密码来认证用户。密码一般都在字母、数字、标点符号等可见字符里面选择,字符集大小受限。此外,因为人性的原因,往往会选择容易记忆、较短的、随机性较差的密码,。此外,用户经常在不同网站使用相同的密码,如果一个网站的密码泄漏,黑客就会用此在其它网站进行撞库攻击。由于以上原因,密码的安全性往往不够强。

秘迹应用不需要用户设置密码,而是使用一个在初次使用秘迹时随机生成的128位的随机数作为密钥。这个密钥的强度足够安全,远超绝大多数密码的强度。

5. 从手机上跨屏登录电脑网站有多安全?

跨屏登录功能,是在手机上登录网站后,把网站的Cookie通过加密通道发送给电脑浏览器插件,在电脑上用这些Cookie进行认证。这个过程中,网站密码没有离开过手机,不会在电脑浏览器里面出现,避免了密码被电脑和浏览器上的恶意应用截获的风险,提高了密码的安全性。

6. 秘迹会遭受钓鱼攻击吗?

黑客可能会对秘迹用户进行任何可能的攻击,包括钓鱼攻击。因为我们不知道用户的邮箱、手机号等任何联系方式,所以我们绝对不会发送任何关于你账户的邮件、信息等。请务必到秘迹官网或正规应用商店下载正版秘迹应用,而且仅在秘迹应用内输入恢复密钥。

7. 怎么修改我的恢复密钥?

目前尚无法修改密钥。后续版本会支持。

8. 秘迹服务器宕机了会影响我使用秘迹吗?

秘迹数据都是从本地访问。如果我们的服务器宕机了,备份和恢复功能不可用,但是不影响使用其他功能。

9. 如果我手机丢了怎么办?

如果手机没有系统级的锁屏密码(包括密码、手势、指纹、人脸识别等),也没有给秘迹应用的“设置”--> “安全设置”中设定锁定密码,那么别人拿到手机,就可以访问秘迹内容。所以我们强烈建议你设置一个足够安全的系统锁屏密码。

如果手机系统设置了锁屏密码,秘迹应用沿用了系统锁屏方式,那么拿到你手机的人破解了锁屏密码就可以访问到秘迹数据;如果手机系统设置了锁屏密码,秘迹应用使用了独立的锁屏密码,那么拿到你手机的人必须破解了系统锁屏密码和秘迹独立的锁屏密码,才可以访问到秘迹数据。

10. 秘迹用的加密算法有多安全?

秘迹保险箱数据使用AES-256的CBC模式加密。AES-256是通用了强加密算法,密钥长度是256位。如果暴力破解的话,花费的时间是暴力破解128位助记词的2^128倍,这个时间远远超出了宇宙的寿命。

如果某天AES-256出现了实际的大幅降低安全性的漏洞,我们将会切换到更安全的加密算法。

11. 十二个汉字的恢复密钥有多安全?

秘迹使用了和比特币钱包种子助记词一样的方法来帮助保管128位的恢复密钥,安全性和使用助记词的比特币钱包是一样的。助记词共有2^128种可能性,用目前最快的超级计算机l来暴力破解,需要约8.8亿亿年,远远超出了宇宙的寿命。

但是,任何人只要获得这个助记词,就可以获取你的内容,所以请一定妥善保管恢复密钥。

12. 忘记了恢复密钥怎么办?

我们不以任何形式保留用户恢复密钥。如果忘记了用户密钥,我们没有办法帮你恢复数据,请再生成一个新的恢复密钥,使用新的保险箱和悄悄话昵称。所以请务必记好你的恢复密钥。

了解更详细的安全细节,请阅读我们的安全白皮书